DOCS

Brazil lgpd

/

Brezilya Genel Veri Koruma Yasası

Brezilya'nın Genel Veri Koruma Yasası (LGPD) hakkında bilgi edinin.

Brezilya, düzen ve ilerleme için en son girişiminde, Lei Geral de Proteção de Dados (LGPD) veya Kişisel Verilerin Korunması Genel Yasası'nı kabul etti. Bu yasama, Brezilyalı vatandaşların kişisel bilgilerini ve gizliliğini korumak için, bu verilerin kuruluşlar tarafından nasıl işlenebileceği ve toplanabileceği konusunda yönergeler sunmaktadır. (İpucu: Sadece izinle.) 40'tan fazla farklı önceki, (bazen çelişkili) kişisel veri düzenlemelerini standartlaştırmaya ve netleştirmeye yardımcı olur ve hem Brezilyalı hem de uluslararası işletmelere ve kuruluşlara uygulanır.

LGPD Brezilya için Bilinmesi Gereken Terimler 

  • Kişisel Veri: Bir bireyi tanımlayan veya ona özgü herhangi bir bilgi, örneğin adı, soyadı, takma adı, kimlik numarası vb.
  • Veri Sahibi veya Veri Konusu: Kişisel verilerin ait olduğu birey.
  • Veri İşleme: Kişisel verilerin toplanması, saklanması, kullanılması veya ifşa edilmesi gibi, kişisel veriler kullanılarak gerçekleştirilen herhangi bir işlem.
  • Veri Kontrolörü: Kişisel verilerin nasıl kullanılacağı veya işleneceği konusunda karar veren kişi. Şirketinin LGPD standartlarını yerine getirmesi veya yerine getirmemesi konusunda nihai sorumluluğa sahiptir.
  • Rıza: Ücretsiz, bilgilendirilmiş izin veya onay. Bu durumda, veri sahibinin bilgilerini belirli bir amaç için işlenmesine izin vermesi.
  • Autoridade Nacional de Proteção de Dados (ANPD) veya Ulusal Veri Koruma Otoritesi: LGPD'nin düzenlenmesi, uyumu ve uygulanmasını denetlemekle görevli Brezilya federal hükümetinin bir dalı.
  • Veri Koruma Görevlileri: Kişisel verileri işleyen kuruluşu temsil eden kişi, iş dünyası, ANPD ve veri sahipleri arasında iletişimden sorumludur. Genellikle hukuk veya BT alanında bir geçmişe sahiptirler.

LGPD'nin Yaptıkları 

LGPD, Veri Kontrolörlerinin kişisel verilerin nasıl ve neden işlenebileceğini düzenleyen teknik ve idari uygulamaları benimsemelerini ve işledikleri kişisel verileri yetkisiz erişim, kayıp, değişiklik ve/veya ifşadan korumalarını gerektirir.

Veri Konularının On Hakkı

Brezilya'nın LGPD'si, işletmelere veya kuruluşlara yapılan tüm işleme gerekliliklerinin temelini oluşturan veri konularının on hakkını belirler:

  1. Verilerinin işlendiğini doğrulama hakkı;
  2. Verilerine erişim hakkı;
  3. Eksik, hatalı veya güncel olmayan verileri düzeltme hakkı;
  4. Gereksiz veya aşırı verileri veya LGPD'ye uygun olarak işlenmeyen verileri anonimleştirme, engelleme veya silme hakkı;
  5. Verilerini başka bir hizmet veya ürün sağlayıcısına taşıma hakkı;
  6. Rızasıyla işlenen kişisel verileri silme hakkı;
  7. Kontrolörün verilerini paylaştığı kamu ve özel üçüncü taraflar hakkında bilgi alma hakkı;
  8. Rızayı reddederlerse ne olacağı hakkında bilgi alma hakkı;
  9. Rızalarını geri alma hakkı.
  10. Veri taşınabilirliği hakkı, bu da sahibin verilerinin tam bir kopyasını rakipler tarafından kullanılabilir bir formatta talep etmesine olanak tanır.

Veri Kontrolörleri/kuruluşlar için Gereklilikler

LGPD, veri kontrolörlerinin/kuruluşların:

  • Müşterilerden gelen talepleri veya şikayetleri yönetmek için bir Veri Koruma Görevlisi atamasını, kimlik ve iletişim bilgilerinin kamuya açık ve clear olmasını, tercihen web sitelerinde yayınlamasını;
  • Gerçekleştirdikleri işleme işlemlerinin kaydını tutmalarını;
  • Veri sahibinin talep ettiği gibi kişisel verileri bilgilendirme, düzeltme, silme, anonimleştirme veya taşıma;
  • İlişki sona erdiğinde verileri kaldırmalarını;
  • Verilerin güvenliğini hırsızlık, yetkisiz erişim, kazalar veya diğer sorunlardan korumak için idari ve güvenlik önlemleri almalarını;
  • Herhangi bir veri ihlalini veri sahiplerine, yerel otoritelere ve ANPD'ye bildirmelerini gerektirir.

Şirketlerin kişisel verileri yasal olarak işleyebileceği on temel vardır. Veriler şu durumlarda işlenebilir:

  1. Veri sahibinin onayladığı meşru, belirli ve açık amaçlar için;
  2. Yasal veya düzenleyici bir yükümlülüğe uymak için;
  3. Yasal sözleşmelere, anlaşmalara veya benzerlerine dayanan kamu politikalarını yürütmek için;
  4. Veri sahibinin talebi üzerine bir sözleşmeyi yerine getirmek için (örneğin bir satın alma veya işlem);
  5. Araştırma yapmak için ve mümkün olduğunca kişisel verilerin anonimleştirildiğinden emin olmak için;
  6. Yargı, idari veya tahkim süreçlerinde hakların kullanılması için;
  7. Veri sahibinin veya bir üçüncü tarafın yaşamını veya fiziksel güvenliğini korumak için;
  8. Sağlık profesyonelleri veya sağlık kuruluşları tarafından gerçekleştirilen sağlık koruma amacıyla;
  9. Kontrolörün veya bir üçüncü tarafın meşru çıkarlarını yerine getirmek için gerekli olduğunda;
  10. Kredi koruma amacıyla.

ANPD'nin Yaptıkları 

Autoridade Nacional de Proteção de Dados (ANPD) veya Ulusal Veri Koruma Otoritesi, LGPD'nin düzenlenmesi, uyumu ve uygulanmasını denetlemekle görevli, kurulması planlanan Brezilya federal hükümetinin bir dalıdır. Başkanın yönetimi altında olsa da, ANPD'nin karar verme yetkisi vardır. Yönetim Kurulu, Ulusal Konsey, İç İşler Ofisi ve yasal ve uygulama görevleri için diğer uzman birimlerden oluşan 28 üyeden oluşan bir danışma kuruluna sahip olacaktır.

Sorumlulukları şunlardır:

  • LGPD'nin nasıl uygulanacağına dair yorum ve pratik yönergeler sağlamak;
  • Bildirilen şikayetleri veya ihlalleri araştırmak ve denetlemek ve Veri Koruma Görevlisi ile bir çözüm üzerinde çalışmak;
  • Veri işleme ihlalleri için yaptırımlar vermek;
  • Kişisel verilerin korunması hakkında çalışmalar, kamu tartışmaları ve duruşmalar düzenlemek.

LGPD Ne Zaman Yürürlüğe Girdi 

Yasa, 1 Ocak 2021'de yürürlüğe girecektir.

LGPD uyum ihlali yaptırımları 1 Ağustos 2021'e kadar ertelenmiştir.

Öneriler 

  • Öncelikle, uyum sağlamak için son dakikayı beklemek maliyetli bir hata olabilir. Uyum sağlamamak, Brezilya'daki önceki mali yıl için gelirlerinin %2'sine kadar cezalara yol açabilir ve her ihlal için maksimum 50 milyon Brezilya reaisine (yaklaşık 12.9 milyon USD veya 11.2 milyon EUR) kadar çıkabilir.
  • Veri işleme ve güvenliğini izlemek için bir Veri Koruma Görevlisi atayın ve adını ve iletişim bilgilerini web sitenizde açıkça yayınlayın.
  • Her zaman rıza isteyin. Müşteri verilerinin nasıl ve neden işlendiği konusunda clear ve şeffaf olun ve katılmayı veya çıkmayı kolaylaştırın.
  • Verileri yalnızca bir işlemi işlemek için gerekli olduğu kadar saklayın ve daha uzun süre tutmayın.
  • Tüm işleme sürecinizi belgelediğinizden emin olun: Kişisel verileri nasıl topluyor, saklıyor, kullanıyor ve paylaşıyorsunuz? Bu belgeleri sunmanız istenebilir, bu nedenle hazırlıklı olmak daha iyidir.
  • Düzenli denetimler planlayın. Veri sızıntıları, kaynaklar ve itibar açısından son derece maliyetlidir. Hataları veya tehditleri daha hızlı yakalamak için dikkatli olmak, proaktif olmak her zaman yakalanmaktan daha iyi görünür.

Daha Fazla Bilgi 

Sıkça Sorulan Sorular 

Brezilya'nın LGPD'si, AB'nin GDPR'sinden nasıl farklıdır?

  • GDPR, ikametgahı veya milliyeti ne olursa olsun, doğal kişilere uygulanır; LGPD bunu belirtmez.
  • Veri Koruma Görevlileri: LGPD'nin geniş kılavuzu, Brezilya'da yaşayanların verilerini işleyen herhangi bir kuruluşun bir DPO'ya ihtiyaç duyacağını belirtir. Aksine, GDPR, bir DPO'ya ihtiyaç duyulduğunda belirli gereklilikler sunar.
  • Veri işleme için yasal dayanak: Her iki yasada da, bir veri kontrolörünün bir veri sahibinin bilgilerini işlemek için yasal bir gerekçeye sahip olması gerekir. GDPR'nın altı kriteri varken, LGPD'nin on kriteri vardır.

Bu sayfa yardımcı oldu mu?